Citrix ADC-anslutningsprogram (tidigare NetScaler) för Microsoft Sentinel

  • Artikel

Citrix ADC-dataanslutningen (tidigare NetScaler) ger möjlighet att mata in Citrix ADC-loggar i Microsoft Sentinel. Om du vill mata in Citrix WAF-loggar i Microsoft Sentinel kan du läsa den här dokumentationen.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslut ellerattribut

Anslut ellerattribut beskrivning
Log Analytics-tabeller Syslog
Stöd för regler för datainsamling DcR för arbetsytetransformering
Stöds av Microsoft Corporation

Exempel på frågor

De 10 främsta händelsetyperna

CitrixADCEvent

| where isnotempty(EventType)
 
| summarize count() by EventType

| top 10 by count_

Installationsanvisningar för leverantör

Kommentar

  1. Den här dataanslutningsappen är beroende av en parser som baseras på en Kusto-funktion för att fungera som förväntat och som distribueras som en del av lösningen. Om du vill visa funktionskoden i Log Analytics öppnar du bladet Log Analytics/Microsoft Sentinel-loggar, klickar på Funktioner och söker efter aliaset CitrixADCEvent och läser in funktionskoden eller klickar här, den här funktionen mappar Citrix ADC-händelser (tidigare NetScaler) till ASIM för Avancerad säkerhetsinformationsmodell. Funktionen tar vanligtvis 10–15 minuter att aktivera efter installationen/uppdateringen av lösningen.
  2. Den här parsern kräver en visningslista med namnet Sources_by_SourceType

i. Om du inte redan har skapat visningslistan klickar du här för att skapa.

ii. Öppna visningslistan Sources_by_SourceType och lägg till poster för den här datakällan.

iii. SourceType-värdet för CitrixADC är CitrixADC.

Mer information finns i den här dokumentationen

  1. Installera och registrera agenten för Linux

Normalt bör du installera agenten på en annan dator än den där loggarna genereras.

Syslog-loggar samlas endast in från Linux-agenter .

  1. Konfigurera loggarna som ska samlas in

Konfigurera de anläggningar som du vill samla in och deras allvarlighetsgrad.

  1. Under Avancerade inställningar för arbetsytan Konfiguration väljer du Data och sedan Syslog.

  2. Välj Använd nedanstående konfiguration på mina datorer och välj de anläggningar och allvarlighetsgraderna.

  3. Klicka på Spara.

  4. Konfigurera Citrix ADC för att vidarebefordra loggar via Syslog

3.1 Gå till fliken > Konfiguration Systemgranskning >> Syslog-servrar >

3.2 Ange Syslog-åtgärdsnamn.

3.3 Ange IP-adress för syslog-fjärrserver och port.

3.4 Ange transporttyp som TCP eller UDP beroende på din syslog-fjärrserverkonfiguration.

3.5 Mer information finns i Citrix ADC-dokumentationen (tidigare NetScaler).

  1. Kontrollera loggar i Microsoft Sentinel

Öppna Log Analytics för att kontrollera om loggarna tas emot med hjälp av Syslog-schemat.

Obs! Det kan ta upp till 15 minuter innan nya loggar visas i Syslog-tabellen.

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.